1 Incidents de la semaine

1.1 Divulgations de données d’authentification

Au cours des dernières semaines, différents groupes d’attaquants se sont fait remarquer sur l’Internet en revendiquant diverses intrusions. Ces groupes ont notamment divulgué sur des sites publics les informations d’authentification de milliers d’utilisateurs, compromettant de fait la sécurité du site mais aussi la sécurité des utilisateurs, ces derniers ayant pu utiliser les mêmes informations d’authentification sur différents sites.

L’utilisation de sites publics par des attaquants n’est cependant pas une nouveauté. En effet, il existe, depuis plusieurs années, des logiciels espions, et notamment des enregistreurs de frappe clavier, qui se servent de ces sites afin d’extraire les données qu’ils ont capturées. Il est ainsi possible d’accéder en ligne à des journaux de capture comprenant des informations sensibles comme des mots de passe ou des numéros de cartes bancaires.

Afin de limiter l’impact de ce type de fuite de données, le CERTA recommande :

  • d’utiliser des mots de passe différents pour chaque service requerrant une authentification ;
  • de changer régulièrement ses mots de passe ;
  • de mettre en place une politique de filtrage des sites publics utilisés pour faire de l’extraction de données (sites de type pastebin).

1.2 Vigilance de l’utilisateur, une ligne de défense

Cette semaine, le CERTA a traité un incident dont l’impact a été limité grace à la vigilance de l’utilisateur.

Ce dernier reçoit un premier courriel dont l’objet est l’un des sujets de travail de cet utilisateur et l’adresse d’expéditeur a la forme d’une adresse personnelle de l’un de ses interlocuteurs. Ce sont des ficelles classiques de l’ingéniérie sociale, largement reprises dans les attaques ciblées. Par ce message, il peut obtenir un document PDF qui apparaît vide avec indication que le support des javascripts est désactivé. Cela a de quoi mettre la puce à l’oreille.

Un deuxième courriel, avec le même objet et le même corps de message, mais semblant émaner d’une adresse personnelle d’un autre interlocuteur, lui parvient peu de temps après. Cette fois, notre utilisateur écrit à son interlocuteur, expéditeur apparent, non pas par la fonction de réponse, mais en utilisant l’adresse légitime qu’il connaît. Cet interlocuteur lui confirme alors l’imposture.

Ces quelques minutes de vérification ont évité de gros souci à notre utilisateur et à son service. Le document piégé contient et installe un exécutable qui tente ensuite des connexions vers un serveur externe. Bref, le schéma classique des attaques dont la presse se fait régulièrement l’écho.



Le CERTA rappelle souvent dans ses recommandations la nécessaire vigilance lors de la réception de courriels d’expéditeurs inconnus, ou même d’expéditeurs connus, quand la réception est inattendue, ou que des incohérences apparaissent : langue utilisée, utilisation inhabituelle d’une adresse personnelle, objet sans rapport avec les sujets normalement traités avec l’expéditeur…

La détection de telles anomalies est très difficile à remplir par un équipement technique. La vigilance de l’utilisateur est irremplaçable. Un courriel sur une adresse connue et fiable ou un appel téléphonique de vérification peuvent épargner bien des heures d’investigations et de restauration, voire peuvent éviter des fuites d’informations sensibles.

2 Attaques via des périphériques externes

Cette semaine, la société de sécurité Netragard a décrit un mécanisme d’attaque intéressant. Il s’agit en fait d’une évolution de la classique clé USB piégée qui, une fois branchée, va infecter le système. Ici, il s’agit d’une souris USB qui intègre un micro contrôleur simulant le comportement d’un clavier. Une fois connecté au système, ce périphérique envoie des séquences de touches au poste afin d’exécuter un programme embarqué dans la souris et, ainsi, installer une porte dérobée.

Cette attaque montre le danger que représente la connection d’un périphérique sur un poste de travail. Aussi, il est recommandé de ne pas connecter de périphériques d’origine inconnue ou douteuse à un poste de travail et ce, quel que soit le type du périphérique.

Documentation

3 Mise à jour de Thunderbird

La version 5.0 finale de Thunderbird est désormais disponible. Elle vient remplacer la version 3.1. Afin de garder un système à jour, il est recommandé de faire évoluer les clients de messagerie vers cette version.

Cette mise à jour reprend le nouveau système de numérotation mis en place dernièrement par Mozilla pour son navigateur Web Firefox.

Rappel des avis émis

Dans la période du 20 au 26 juin 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :